Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Juli 2024 für Sie zusammengefasst.
- Informationssicherheit | IT-Sicherheit in der Lieferkette
- Informationssicherheit | NIS-2: Regierungsentwurf vom Bundeskabinett beschlossen
- Informationssicherheit | Versicherung muss nach Cyberangriff nicht zahlen
- Informationssicherheit | Fehlerhaftes Update Crowdstrike Falcon
- Datenschutz | Praxishilfe zum Umgang mit Erlaubnistatbeständen von Gesundheitsdaten
- Informationssicherheit | KI-Verordnung tritt in Kraft
- Datenschutz | BSFA Barrierefreiheitsstärkungsgesetz in Bezug auf Webseiten
- Datenschutz | Neuauflage des Digitalbonus in Bayern
- Informationssicherheit | Cyberangriffe im Juli
INFORMATIONSSICHERHEIT
IT-Sicherheit in der Lieferkette
In diesem Beitrag erläutern wir, warum Angriffe auf die Lieferkette für Cyberkriminelle besonders lukrativ sind und wie Sie als Unternehmen der IT-Sicherheit in der Lieferkette praxisorientiert begegnen können, damit Ihre Lieferkette nachhaltig robust aufgestellt ist und funktionsfähig bleibt.
INFORMATIONSSICHERHEIT
NIS-2: Regierungsentwurf vom Bundeskabinett beschlossen
Am 24.07.2024 wurde der von Innenministerin Nancy Faeser vorgelegte Entwurf für ein Gesetz zur Netzwerk- und Informationssicherheit beschlossen. Ein Vergleich des letzten Referentenentwurfs zum verabschiedeten Regierungsentwurf finden Sie hier. Das deutsche IT-Sicherheitsrecht wird damit umfassend modernisiert und neu strukturiert. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden neue Aufsichtsinstrumente und Unterstützungsangebote zugeteilt, um die Umsetzung so reibungslos als möglich zu gestalten.
Betroffenheitsprüfung
Über eine Zuordnung von Ja/Nein Fragen können Unternehmen die eigene Betroffenheit prüfen. Eine Einteilung erfolgt dann über 4 Kategorien: Betreiber kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen.
FAQ-Katalog
Fragen und Antworten zu den wichtigsten NIS2-Themen finden sich in einem neu veröffentlichten FAQ-Katalog.
INFORMATIONSSICHERHEIT
Versicherung muss nach Cyberangriff nicht zahlen
In der Rechtssache (Az. 5 O 128/21) vom 23. Mai 2024 entschied das Landgericht Kiel (LG), dass eine Cyberversicherung bei Falschangaben im Antragsformular, den Leistungsfall auf Grund arglistiger Täuschung abweisen kann. Zum Hintergrund.
Ein Holzgroßhandel mit 16 Standorten in Norddeutschland schloss im 1. Quartal 2020 eine Cyber-Versicherung ab. Im Rahmen der Antragstellung mussten Risikofragen beantwortet werden, die die Grundlage für den Vertragsabschluss bildeten. Die Fragen ob “alle stationären und mobilen Arbeitsrechner mit einer Antivirensoftware ausgestattet sind?” und “verfügbare Sicherheitsupdates ohne schuldhaftes Zögern eingespielt werden?” wurden mit “ja” und damit laut dem LG Kiel falsch beantwortet.
Im Moment des Angriffs waren mehrere zentrale Systeme wie Domain Controller (Auslieferungszustand) oder Webshopserver ohne Antivirensoftware und aktuelle Sicherheitsupdates in Betrieb.
Das LG bewertete dies als arglistige Täuschung mit der Begründung, dass entweder der Umstand der internen IT bekannt war oder ohne gründliche Überprüfung Angaben gemacht wurden. Fazit: Verantwortliche Stellen sollten sich kritisch mit der Beantwortung von Antragsformularen auseinandersetzen. Gerne unterstützen wir Sie bei diesen Aufgaben.
INFORMATIONSSICHERHEIT
Fehlerhaftes Update Crowdstrike Falcon
Am 19. Juli 2024 sorgte ein fehlerhaftes Update des Sicherheitsanbieters Crowdstrike für den Ausfall von rund 8,5 Millionen Windows-Systemen weltweit und damit womöglich zum größten Ausfall aller Zeiten. Verstärkt wurde dies noch damit, dass ein großer Teil kritischer Infrastrukturen und rund 60% aller Fortune-500-Unternehmen CrowdStrike nutzen. Betroffen waren unter anderem Flughäfen, Krankenhäuser und Banken. Durch die bisherige Strategie das Update gleichzeitig an alle Kunden zu verteilen, wurde dieser extreme Impact zusätzlich befeuert. CrowdStrike hat bereits Verbesserungspotentiale angekündigt. Zukünftig sollen Updates einer umfassenden Prüfung unterzogen werden inkl. Stress- und Stabilitätstests einschließlich der Schnittstellen. Weiter werden Updates nun schrittweise ausgebracht, um einen vergleichbaren Massenausfall zu vermeiden. Kunden werden zukünftig entscheiden können, welche Updates wann auf den Systemen installiert werden sollen.
DATENSCHUTZ
Praxishilfe zum Umgang mit Erlaubnistatbeständen von Gesundheits- und genetischen Daten
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) hat in Zusammenarbeit mit der Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS) die kostenfreie Praxishilfe Umgang mit Erlaubnistatbeständen bei der Verarbeitung von Gesundheitsdaten und genetischen Daten veröffentlicht.
DATENSCHUTZ
KI-Verordnung tritt in Kraft
Nach der Veröffentlichung der KI-Verordnung am 12. Juli 2024 im Amtsblatt der Europäischen Union, gilt diese ab dem 2. August 2026. Sie tritt in mehreren Stufen in Kraft. Kapitel I und II gelten ab dem 2. Februar 2025. Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII und Artikel 78 gelten ab dem 2. August 2025, mit Ausnahme des Artikels 101; Artikel 6 Absatz 1 und die entsprechenden Pflichten gelten ab dem 2. August 2027.
Neben den Allgemeinen Bestimmungen in Kapitel 1 gelten damit als erstes Verbote für KI-Praktiken, die ein inakzeptables Risiko für die Grundrechte der EU Bürger darstellen. KI-Systeme, die nur ein geringes Risiko mit sich bringen, sind von der KI-Verordnung nicht umfasst. Diese befinden sich damit aber nicht in einem rechtsfreien Raum. Die DSGVO ist technikneutral und gilt insbesondere auch für KI-Systeme. Durch die hohe Komplexität von KI-Systemen und der damit einhergehenden geringeren Transparenz, sind die KI-spezifischen Vorgaben aus der KI-Verordnung für den Schutz der Grundrechte wichtig. Neben anderen Aufsichtsstrukturen sind den Datenschutzaufsichtsbehörden Aufgaben im Rahmen der KI-Verordnung zugeteilt. Sie bleiben auch für Datenschutzverletzungen im Zusammenhang mit KI-Systemen die zuständigen Ansprechpartner. Weiter bieten Aufsichtsbehörden Informationen zum datenschutzkonformen Umgang mit KI-Systemen z.B. die KI-Checkliste des BayLDA oder den Orientierungshilfen-Navigator KI & Datenschutz der Datenschutzaufsicht Baden-Württemberg.
DATENSCHUTZ
BFSG Barrierefreiheitsstärkungsgesetz in Bezug auf Webseiten
In den zurückliegenden Wochen haben sich bei verantwortlichen Stellen bereits erste Fragen zur Umsetzung von Anforderungen aus dem BFSA ergeben. Um die Betroffenheit für die eigene Organisation zu prüfen, möchten wir auf den Webauftritt der Bundesfachstelle Barrierefreiheit und die Leitlinie für die Anwendung des BFSG vom Bundesministeriums für Arbeit und Soziales verweisen.
INFORMATIONSSICHERHEIT
Neuauflage des Digitalbonus in Bayern
Im Juni-Newsletter haben wir Sie darüber informiert, dass die Förderrichtlinie Digitalbonus Bayern zum 30. Juni 2024 ausläuft. Nun freuen wir uns, die Neuauflage ab dem 1. Juli ankündigen zu dürfen. Unternehmen mit weniger als 50 Mitarbeitenden und einer Jahresbilanzsumme oder einem Jahresumsatz von höchstens 10 Millionen Euro werden bei der Digitalisierung ihrer Prozesse und der Verbesserung der IT-Sicherheit unterstützt.
Durch das Inkrafttreten der NIS-2-Richtlinie ist zu erwarten, dass betroffene Unternehmen ihre Anforderungen in der Lieferkette weiterreichen. Dadurch müssen auch kleine Unternehmen in Zukunft höhere IT-Sicherheitsanforderungen erfüllen, um als Lieferant in Frage zu kommen. Bei dieser Herausforderung ist ein Zuschuss von bis zu 7.500 Euro eine wertvolle Unterstützung.
INFORMATIONSSICHERHEIT
Cyberangriffe im Juli
TÜV RHEINLAND AKADEMIE
Gleich zum 1. Juli kündigte die Ransomware-Gruppe Ransomexx einen Leak von TÜV Rheinland Akademie Daten an, sollte auf die Lösegeldzahlung nicht eingegangen werden. Die gestohlenen Daten
umfassen Schulungsinhalte, Raumbuchungen und auch Zugangsdaten. Der Datendiebstahl resultierte aus einem Angriff von Juni 2024. Das Netzwerk der Akademie selbst hat keine Verbindung in das Konzernnetzwerk, wurde deaktiviert und befindet sich im Neuaufbau.
HERSTELLER AKG
Ein weiterer Cyberangriff traf Anfang Juli den deutschen Hersteller für Hochleistungskühler und Wärmetauscher AKG. Der Angriff führte zu Produktionseinschränkungen und Kommunikationsproblemen. Mitte Juli konnte AKG den Wiederanlauf der Produktion mitteilen.
FRANKFURTER UNIVERSITY OF APPLIED SCIENCES
Am 6. Juli wurde die Frankfurter University of Applied Sciences Opfer eines Cyberangriffs. Aufgrund des Angriffs wurden alle externen Systeme blockiert und mehrere abgeschaltet. Dadurch war die Online-Einschreibung nicht möglich und Kommunikation via Telefon und E-Mail eingeschränkt.
NOTARKAMMER PFALZ
200 GB Daten sollen laut der Ransomware-Gruppe Akira von der Notarkammer-Pfalz gestohlen worden sein, darunter SQL-Datenbanken, Mitarbeiterdaten und sensible Finanzinformationen. Laut einer Mitteilung der Notarkammer, sollen auch die Notarkasse, die Landesnotarkammer Bayern und der Bayerische Notarverein betroffen sein.
